Журнал "Information Security/ Информационная безопасность" #5, 2024

вероятность ложных срабатываний неве- лика. Следует отметить, что основная задача системы заключается в защите реальной сети путем отвлечения внимания зло- умышленника на ложную инфраструк- туру. Чем раньше выявляется присут- ствие злоумышленника, тем больше вре- мени остается у специалистов по инфор- мационной безопасности для реагиро- вания на инцидент. Сама система Deception не блокирует злоумышленника, а только предоставляет важную информацию о его присутствии и всех его действиях. Ключевым моментом в реализации системы "Гарда Deception" является то, что взаимодействие с ложной инфра- структурой не дает злоумышленнику ника- ких реальных возможностей для даль- нейших действий и развития атаки. Эму- ляция сервисов происходит в докер-кон- тейнерах, и, попав внутрь, злоумышленник оказывается в ограниченной среде, где не может нанести вред сети компании. При этом в SIEM будут фиксироваться все "красные" события, отражающие дей- ствия злоумышленника в ловушках. Deception может передавать собранную информацию не только в SIEM, но и в другие системы, такие как песочницы или EDR. Например, если с определенного рабочего хоста осуществляется подозри- тельное взаимодействие, система EDR может решить поместить этот хост в карантин для дальнейшего анализа. Даже если злоумышленник поймет, что попался, и решит отключиться от всех корпоративных ресурсов, его присутствие будет замечено, и по нему начнется рас- следование со стороны службы безопас- ности. Будут проверены логи всех систем и сами системы на предмет присутствия вредоносного ПО, будут изменены пароли, закрыты доступы, а рабочую станцию, с которой злоумышленник использовал приманку, изолируют. Меры по контрдей- ствию неизбежны. Ловушки без приманок? Случается, что заказчики ограничивают- ся лишь установкой ловушек, забывая о важности приманок. Но стоит помнить, что оба этих компонента дополняют друг друга, хотя и могут работать независимо. Приманки действуют как катализатор, способствуя привлечению злоумышлен- ника к ловушкам. Например, если использована приманка с рабочего места сотрудника, это однозначно ука- зывает на то, что злоумышленник имел доступ именно к этому АРМ. В таком случае крайне важно проверить кон- кретное рабочее место, чтобы понять какие следы (файлы, утилиты) оставил на нем злоумышленник и какие действия с него выполнял, – скорее всего ловушка окажется не единственной системой, с которой происходило взаимодействие. Кроме того, особую роль играют домен- ные приманки. Если из домена утекли учетные данные, можно отслеживать, кто пытается войти в систему с этими данны- ми на реальных сетевых устройствах. В таком случае ловушки не задействова- ны – работают только приманки, что под- черкивает их значимость в комплексной системе безопасности. Регулярная перенастройка Настройка "Гарда Deception" осуществ- ляется предельно просто и интуитивно понятно. Система максимально автома- тизирована, что позволяет быстро разво- рачивать ловушки, в том числе по шаб- лонам. Пользовательский интерфейс про- думан до мелочей, что делает его доступ- ным даже для тех, кто не обладает глубо- кими техническими знаниями. Совершенствование настроек Decep- tion – это важный и необходимый про- цесс. Если, к примеру, приманка нахо- дится на хосте полтора года, возникает вопрос: кого она сможет привлечь? Ста- рый файл вряд ли вызовет интерес, поэтому приманки должны оставаться актуальными и обновляться. Сеть компании тоже развивается, появляются новые системы и сервисы, особенно в условиях активного импорто- замещения в России, поэтому рекомен- дуется проводить аудит и актуализацию ложного слоя хотя бы раз в квартал. В систему "Гарда Deception" встроен сканер, который можно использовать для поиска активных сервисов и систем в подсетях, для которых эмулируется ложный слой. Такой аудит позволит сопоставить результаты свежего скани- рования с тем, что настроено в ложном слое. Значительные расхождения сиг- нализируют о необходимости корректи- ровки настроек для поддержания высо- кой эффективности системы. Deception и SOC Deception можно рассматривать как неотъемлемый инструмент SOC, посколь- ку это мощная система, способная пре- доставить максимально полное представ- ление о том, что происходит внутри ком- пании в случае реализации угроз. Она позволяет отслеживать действия зло- умышленника как в реальном времени, так и в ретроспективе: что он делал несколько минут или дней назад. Однако отсутствие SOC не является блокирующим фактором для внедрения Deception. Даже если в компании нет выделенной службы ИБ, можно наладить мониторинг на базе ИТ-отдела. Deception можно интегрировать в существующую систему мониторинга СЗИ, позволяя ИТ-специалистам видеть, что происходит внутри инфраструктуры, за которую они несут ответственность. Особенности "Гарда Deception" По состоянию на 2024 г. "Гарда Decep- tion" является единственной системой в данном классе решений, присутствую- щей в государственном реестре серти- фицированных средств защиты инфор- мации (сертификат ФСТЭК России №4797 от 08.04.2024). Сертификат подтверждает безопас- ность разработки, безопасность исполь- зованных инструментов и безопасность применения системы, становясь своего рода знаком качества. Система "Гарда Deception" легка в использовании и быстра в разверты- вании. Базовую установку можно осу- ществить всего за несколько часов, включая загрузку и установку программ- ного обеспечения. Более длительное время уходит на настройку, но это свя- зано не с развертыванием ложного слоя, который занимает всего час-полтора, а с отладкой и поиском исключений для IP-адресов, взаимодействующих с лож- ной инфраструктурой. В планах развития продукта – актив- ная работа над импортозамещением вендоров, покинувших российский рынок, с целью максимального соот- ветствия новому ландшафту угроз и воз- можности эмулировать системы и сер- висы производителей на сетях компа- ния. В частности, в "Гарда Deception" недавно появились две новые ловушки: PostgreSQL и Kubernetes. Это серьезный шаг вперед на рынке отечественных систем Deception. Заключение Deception становится неотъемлемой частью стратегии безопасности компа- ний. Эта технология предоставляет мощ- ные инструменты для раннего обнару- жения угроз, выявления инсайдеров, снижения времени реагирования на инциденты и обогащения данных о пове- дении злоумышленников. Благодаря своей способности минимизировать лож- ные срабатывания и интегрироваться с другими системами безопасности, Deception не только усиливает защиту информационной инфраструктуры, но и способствует повышению общего уров- ня зрелости информационной безопас- ности в компании. Внедрение Deception формирует про- активную культуру безопасности среди сотрудников служб ИБ, побуждая их быть более внимательными к потенциальным угрозам. Системы Deception обеспечивают не только защиту, но и важный опыт, который позволяет командам безопасно- сти адаптироваться к постоянно меняю- щемуся ландшафту угроз. При этом Deception-системы остаются достаточно бюджетными. Часто такие проекты появляются на орбите внедрения других решений. Для "Гарда Deception" предлагаются как постоянные лицензии, так и схема работы по подписке, что поз- воляет максимально гибко подходить к выбору. l • 35 Dеception www.itsec.ru Реклама Ваше мнение и вопросы присылайте по адресу is@groteck.ru